Manfield heeft een nieuw kassasysteem ingevoerd, waarbij medewerkers zich moeten identificeren middels hun vingerafdruk. Dit systeem is ingevoerd ter vervanging van een autorisatiesysteem waarin medewerkers zich middels een cijfercode moesten identificeren. Een van de werknemers van Manfield heeft zich hiertegen verzet en is een procedure bij de kantonrechter gestart.1
Een vingerafdruk valt onder het begrip biometrisch gegeven en wordt aangemerkt als een bijzonder persoonsgegeven.2 Bijzondere persoonsgegevens mogen echter alleen worden verwerkt op grond van een aantal uitzonderingen, zoals het geven van toestemming van de betrokkene. Toestemming is echter niet mogelijk in de relatie tussen werknemer en werkgever, omdat de werknemer niet vrijelijk toestemming kan geven.
In de Uitvoeringswet AVG is echter voor de verwerking van biometrische gegevens een uitzondering gemaakt op dit verbod, waarop Manfield dan ook een beroep op doet.3 Op grond van deze uitzondering mogen biometrische gegevens wel worden verwerkt, indien de verwerking noodzakelijk is voor authenticatie of beveiligingsdoeleinden. Deze uitzondering is mogelijk gemaakt, juist omdat de werkgever zich niet kan beroepen op toestemming van de werknemer, maar het soms wel vereist is om deze gegevens te verwerken voor dit doeleinde.
Voor het doen van een geslaagd beroep op deze uitzondering gelden echter wel een aantal randvoorwaarden. De werkgever moet afwegen of het systeem zodanig beveiligd moet zijn dat dit met biometrie plaatsvindt. Bij een kerncentrale zal dit veelal het geval zijn. Daarnaast moet het verwerken van de biometrische gegevens proportioneel zijn.
Manfield stelt dat er recente gevallen van fraude hebben plaatsgevonden onder het personeel. Met het eerder gebruikte systeem zou gemakkelijk onder een andere naam kunnen worden ingelogd en met een vingerscanautorisatie zou dit worden voorkomen.
De rechter gaat echter niet mee in het standpunt van Manfield. Het type bedrijfsbelang valt niet aan te merken als noodzakelijk voor authenticatie- of beveiligingsdoeleinden. Ook heeft de kantonrechter vraagtekens ten aanzien van de proportionaliteit. Het filiaal van de medewerker is op geen enkele wijze enige vorm van beveiliging. Er is geen camerabeveiliging, er zijn geen alarmpoortjes en er zijn geen kluisjes voor het personeel aanwezig. Manfield heeft voorts geen alternatieven onderzocht, zoals een werknemerspas, cijfercodes of combinaties daarvan. De kantonrechter stelt de werknemer op grond van deze punten in het gelijk en Manfield mag de werknemer niet verplichten om het vingerscanautorisatiesysteem te gebruiken.
Dit is een uitstekend voorbeeld van de afweging die gemaakt moet worden bij het verwerken van biometrische gegevens. Organisaties die dergelijke gegevens willen verwerken, zullen allereerst een afweging moeten maken van alternatieve oplossingen. Hierbij moeten zij onderzoeken of er daadwerkelijk een noodzaak bestaat voor het verwerken van biometrische gegevens. Daarnaast hint de rechter in deze uitspraak erop dat voor de beveiliging van gangbare informatie die zowel betrekking heeft op financiën als persoonsgegevens van klanten en persoonsgegevens van werknemers, het gebruik van biometrische gegevens niet proportioneel is.
Hieruit blijkt weer eens dat men erg terughoudend moet zijn met het verwerken van biometrische gegevens. Wilt u weten of uw organisaties biometrische gegevens mag gebruiken voor authenticatie of beveiligingsdoeleinden? Neem dan vrijblijvend contact met ons op.
Voetnoten
- https://uitspraken.rechtspraak.nl/inziendocument?id=ECLI:NL:RBAMS:2019:6005.
- Artikel 4 sub 14 jo. artikel 9 AVG.
- Artikel 29 UAVG.